《安全网关业务FAQ》PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部署安全产品 实现可管理安全
用户至上 用心服务
Customer First Service Foremost
5
江苏省电信有限公司
系统网络配置
Q:安全网关安装完毕后,为什么能ping通外网,而无法 浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且 做了访问控制的策略,由于安全网关对于扫描的协议采 取的是非透明的方式,所以需要增加安全网关的地址到 实现可管理安全 部署安全产品 策略中; 了解自身安全状况 未在安全网关中设置本地区的DNS服务器,或pc客户端 的DNS设置有误。
部署安全产品 实现可管理安全
未将登陆pc加入安全网关的管理客户端
网络无法连通(该登陆PC到安全网关的链路)
用户至上 用心服务
Customer First Service Foremost
4
江苏省电信有限公司
ห้องสมุดไป่ตู้
系统网络配置
Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,应此是 ping不通外网口地址的。不过从内网PC能ping通安全网 关的外网口地址。 Q: 安全网关支持哪些方式的VPN? 了解自身安全状况 A:对于企业连接不同地域网络的需求,安全网关提供了 VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的 VPN功能适用于网关接入模式下。
部署安全产品 实现可管理安全 了解自身安全状况 Q: 为什么将邮件的发件人添加到白名单地址,安全网关 还会将该邮件地址发送的邮件当作是垃圾邮件? A:将发件人邮件地址添加到白名单后,未点击“黑白 名单生效”。如果未点击,第二天才会生效。 如果一个邮件地址同时在白名单和黑名单上,那么系统 默认为是白名单。
“安全网关”业务常见问题 FAQ
2006年 7月5日
用户至上 用心服务
Customer First Service Foremost
1
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
部署安全产品
Q:如果忘记安全登录密码,怎么办? A:通过串口登陆超级终端,输入用户名INFOGATE,密码 INFOGATE,在命令提示符下输入passwd[username],修 改用户登录密码。缺省是串口的用户名INFOGATE。
了解自身安全状况
用户至上 用心服务
Customer First Service Foremost
病毒过滤
Q:与传统的网络防病毒软件相比,安全网关在病毒过滤 方面有哪些优势? A:将病毒拦截在企业网络之外,不让病毒进入内部网络 后再处理; 专用的硬件设备,不会占用服务器或桌面 PC机的资源; 实现可管理安全 部署安全产品 管理简便,只需要对安全网关设备进行管理就行; 了解自身安全状况 升级方便,能够及时地、自动地更新最新的病毒特征库, 每天四次; 病毒特征库升级减少对企业网络带宽造成影响。
用户至上 用心服务
Customer First Service Foremost
15
江苏省电信有限公司
垃圾邮件
Q:安全网关支持那些邮件服务器类型? A:安全网关支持所有遵循SMTP协议标准的邮件服务器, 不是采用SMTP转发模式,安全网关无须和被保护的邮件 服务器进行邮件用户同步,因此安全网关不限制被保护 的邮件服务器的类型。
用户至上 用心服务
Customer First Service Foremost
12
江苏省电信有限公司
病毒过滤
Q:安全网关支持网络蚂蚁,迅雷等断点续传下载工具的 病毒过滤吗? A:由于这一类下载工具使用的是断点续传技术,将下载 的文件分成几个文件进行下载。这样的话,安全网关无 法获得完整的下载文件,可能在病毒扫描的时候会漏判。
用户至上 用心服务
Customer First Service Foremost
6
江苏省电信有限公司
系统网络配置
Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可 以成为其他DHCP服务器的代理。 网关模式支持 DHCP 服务器功能,网桥模式下不支持 DHCP服务器功能。 实现可管理安全
用户至上 用心服务
Customer First Service Foremost
8
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
9
江苏省电信有限公司
部署安全产品 实现可管理安全 了解自身安全状况 Q: 病毒过滤中的在线杀毒功能是做什么用的? A:安全网关提供的在线杀毒是方便对内部网络里的PC进 行查杀毒。用户从安全网关下载杀毒控件后,就可以对 自己的本地计算机进行查杀毒了。
用户至上 用心服务
Customer First Service Foremost
部署安全产品 了解自身安全状况
Q:为什么通过IP地址访问不了公司的WEB、OA等服务器? A:安全网关在WEB过滤中设置了拦截IP地址访问的。可 以通过WEB过滤下的上网策略中的关闭拦截IP地址访问 功能,正常进行网络访问。
用户至上 用心服务
Customer First Service Foremost
17
江苏省电信有限公司
垃圾邮件
Q:如果用户的邮件服务器在外部的IDC机房,开启了安 全网关的反垃圾邮件过滤,正常的公司工作邮件被判断 为垃圾邮件,该怎么办? A:如果启用了安全网关的反垃圾邮件功能,一旦公司的 工作邮件超过了规则级别的分数,或者内容匹配了关键 实现可管理安全 字过滤,将会被作为垃圾邮件拦截。可以通过适当增大 部署安全产品 垃圾邮件规则级别的分数,改变关键字过滤的规测方法 了解自身安全状况 来防止正常的工作邮件被当做垃圾邮件。 最有效的方法是将公司的邮箱地址加人到白名单当中。 比如公司的邮箱域名是domain.com,可以将 “*@domain.com”加人到邮件地址白名单中。
Web过滤
Q:在WEB过滤功能中的权重关键字过滤是如何过滤拦截 网页的? A:权重关键字过滤是建立在关键字过滤的基础上的,只 起到拦截网页的作用,也就是黑名单的作用。在其设置 里,每个关键字都有相对应的分数,坏的关键字(比如 色情词汇)是正分,好的关键字(比如教育词汇)是负 实现可管理安全 部署安全产品 分,分数的范围是-50 到50。用户可以设置一个拦截的 了解自身安全状况 分数阀值,一旦用户浏览的网页内容中的关键字分数总 和超过了阀值分数,这个网页就会被拦截。阀值的范围 是50-500。
13
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
14
江苏省电信有限公司
垃圾邮件
Q:安全网关在反垃圾邮件上采用哪些技术? A:智能学习技术:采用贝叶斯信息分类理论对垃圾邮件 以及非垃圾邮件分类打分; 关键字、词组过滤技术 ; RBL黑名单提供者服务器 ; 实现可管理安全 部署安全产品 SMTP邮件接收规则、反向DNS查询功能、自动获取白名 了解自身安全状况 单功能。 针对垃圾邮件制造者不断变化的技术,不断更新的垃圾 邮件特征库
用户至上 用心服务 Customer First Service Foremost
16
江苏省电信有限公司
垃圾邮件
Q:安全网关的垃圾邮件中设置了关键字过滤,为什么含 有该关键字的邮件不被当作垃圾邮件? A:出现此现象可能有以下几个原因: 用户是从内往外发含有关键字的邮件。安全网关对于从 内往外发的邮件不做垃圾邮件检测; 实现可管理安全 部署安全产品 外部的发送含有关键字邮件的帐户已被自动获取为白名 了解自身安全状况 单,应此不会被判为垃圾邮件。
用户至上 用心服务
Customer First Service Foremost
11
江苏省电信有限公司
病毒过滤
Q:通过HTTP、FTP下载的文件中包含病毒时,安全网关 会怎么处理? A:这个问题和下载的文件的大小有关。当下载的文件大 小在300k以内时,能够100%的拦截病毒;如果下载的 文件超过300K,由于安全网关采用的是边检测边发送数 实现可管理安全 据的方式,已经将前期下载的数据包,经检测后发送到 部署安全产品 相关的地址上,如果这时发现在下载的文件后半部有病 了解自身安全状况 毒,安全网关会将病毒内容截取下来,下载下来的文件 比原始的文件要小,并且该文件不可用,用文本编辑打 开会发现有发现病毒的提示。
2
江苏省电信有限公司
系统网络配置
Q:安全网关支持哪些网络接入模式?
A:安全网关支持两种网络接入模式:一种是网桥模式, 一种是网关模式。网关模式下有ADSL拨号、静态路由、 DHCP client端三种外网接入类型。
部署安全产品 实现可管理安全
Q: 网桥模式下安全网关应该部署在网络中的什么位置? 了解自身安全状况 A:如果安全网关采用网桥模式,通常情况下应该部署在 企业接入设备(防火墙或者路由器)的后面。安全网关 的两个网口(内网口和外网口)连接的是同一网段的两 个部分,用户只需给安全网关配置一个本网段的IP地址, 不需要改变网络拓扑以及其它配置,透明接入网络。
用户至上 用心服务
Customer First Service Foremost
18
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
19
江苏省电信有限公司
用户至上 用心服务 Customer First Service Foremost
3
江苏省电信有限公司
系统网络配置
Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在 企业网络出口处,做为宽带网络接入设备,保护整个内 部网络。 Q: 无法通过浏览器登录安全网关的管理页面? 了解自身安全状况 A:出现这种情况有以下几个原因:
7
江苏省电信有限公司
系统网络配置
Q:当安全网关部署在三层交换机前面时,为什么有些 VLAN网段不能正常访问internet? A:由于安全网关是基于透明的应用层代理,需要为数据 包指回路由,不论是在网关模式还是网桥模式下,都需 要为三层交换机下的每个子网设置指回路由,在系统配 置>路由设置,添加路由。 实现可管理安全 部署安全产品 网桥方式: 网卡:br0 ,类型:网络,主机,缺省,目 了解自身安全状况 的:IP地址,掩码,网关:三层交换机的地址。 路由模式: 网卡: eth0,类型:网络,主机,缺省, 目的:IP地址,掩码,网关:三层交换机的地址。
用户至上 用心服务
Customer First Service Foremost
20
江苏省电信有限公司
Web过滤
Q:安全网关提供了哪些功能实现WEB内容过滤? A:安全网关采用网址过滤与网页内容过滤相结合的办法, 进行多重过滤。 内容过滤方法又分成单个关键字过滤,权重关键字过滤, PICS分级标准过滤以及文件及应用过滤等多种方法共同 实现可管理安全 使用,能够更全面的过滤掉不健康的 WEB内容。
用户至上 用心服务
Customer First Service Foremost
10
江苏省电信有限公司
病毒过滤
Q:安全网关支持哪些协议的病毒扫描? A:安全网关能够对最常用的五种Internet协议(HTTP, POP3,SMTP,IMAP、FTP)以及Netbios(网络基本输入 /输出系统)进行病毒扫描。 SMTP:发送邮件的协议,默认扫描端口 25 实现可管理安全 部署安全产品 IMAP:接收邮件的协议,默认扫描端口 143 了解自身安全状况 POP3:接收邮件的协议,默认扫描端口110 FTP:传送文件的协议,默认扫描端口21 HTTP:WEB访问使用协议,默认扫描端口80
用户至上 用心服务
Customer First Service Foremost
5
江苏省电信有限公司
系统网络配置
Q:安全网关安装完毕后,为什么能ping通外网,而无法 浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且 做了访问控制的策略,由于安全网关对于扫描的协议采 取的是非透明的方式,所以需要增加安全网关的地址到 实现可管理安全 部署安全产品 策略中; 了解自身安全状况 未在安全网关中设置本地区的DNS服务器,或pc客户端 的DNS设置有误。
部署安全产品 实现可管理安全
未将登陆pc加入安全网关的管理客户端
网络无法连通(该登陆PC到安全网关的链路)
用户至上 用心服务
Customer First Service Foremost
4
江苏省电信有限公司
ห้องสมุดไป่ตู้
系统网络配置
Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,应此是 ping不通外网口地址的。不过从内网PC能ping通安全网 关的外网口地址。 Q: 安全网关支持哪些方式的VPN? 了解自身安全状况 A:对于企业连接不同地域网络的需求,安全网关提供了 VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的 VPN功能适用于网关接入模式下。
部署安全产品 实现可管理安全 了解自身安全状况 Q: 为什么将邮件的发件人添加到白名单地址,安全网关 还会将该邮件地址发送的邮件当作是垃圾邮件? A:将发件人邮件地址添加到白名单后,未点击“黑白 名单生效”。如果未点击,第二天才会生效。 如果一个邮件地址同时在白名单和黑名单上,那么系统 默认为是白名单。
“安全网关”业务常见问题 FAQ
2006年 7月5日
用户至上 用心服务
Customer First Service Foremost
1
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
部署安全产品
Q:如果忘记安全登录密码,怎么办? A:通过串口登陆超级终端,输入用户名INFOGATE,密码 INFOGATE,在命令提示符下输入passwd[username],修 改用户登录密码。缺省是串口的用户名INFOGATE。
了解自身安全状况
用户至上 用心服务
Customer First Service Foremost
病毒过滤
Q:与传统的网络防病毒软件相比,安全网关在病毒过滤 方面有哪些优势? A:将病毒拦截在企业网络之外,不让病毒进入内部网络 后再处理; 专用的硬件设备,不会占用服务器或桌面 PC机的资源; 实现可管理安全 部署安全产品 管理简便,只需要对安全网关设备进行管理就行; 了解自身安全状况 升级方便,能够及时地、自动地更新最新的病毒特征库, 每天四次; 病毒特征库升级减少对企业网络带宽造成影响。
用户至上 用心服务
Customer First Service Foremost
15
江苏省电信有限公司
垃圾邮件
Q:安全网关支持那些邮件服务器类型? A:安全网关支持所有遵循SMTP协议标准的邮件服务器, 不是采用SMTP转发模式,安全网关无须和被保护的邮件 服务器进行邮件用户同步,因此安全网关不限制被保护 的邮件服务器的类型。
用户至上 用心服务
Customer First Service Foremost
12
江苏省电信有限公司
病毒过滤
Q:安全网关支持网络蚂蚁,迅雷等断点续传下载工具的 病毒过滤吗? A:由于这一类下载工具使用的是断点续传技术,将下载 的文件分成几个文件进行下载。这样的话,安全网关无 法获得完整的下载文件,可能在病毒扫描的时候会漏判。
用户至上 用心服务
Customer First Service Foremost
6
江苏省电信有限公司
系统网络配置
Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可 以成为其他DHCP服务器的代理。 网关模式支持 DHCP 服务器功能,网桥模式下不支持 DHCP服务器功能。 实现可管理安全
用户至上 用心服务
Customer First Service Foremost
8
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
9
江苏省电信有限公司
部署安全产品 实现可管理安全 了解自身安全状况 Q: 病毒过滤中的在线杀毒功能是做什么用的? A:安全网关提供的在线杀毒是方便对内部网络里的PC进 行查杀毒。用户从安全网关下载杀毒控件后,就可以对 自己的本地计算机进行查杀毒了。
用户至上 用心服务
Customer First Service Foremost
部署安全产品 了解自身安全状况
Q:为什么通过IP地址访问不了公司的WEB、OA等服务器? A:安全网关在WEB过滤中设置了拦截IP地址访问的。可 以通过WEB过滤下的上网策略中的关闭拦截IP地址访问 功能,正常进行网络访问。
用户至上 用心服务
Customer First Service Foremost
17
江苏省电信有限公司
垃圾邮件
Q:如果用户的邮件服务器在外部的IDC机房,开启了安 全网关的反垃圾邮件过滤,正常的公司工作邮件被判断 为垃圾邮件,该怎么办? A:如果启用了安全网关的反垃圾邮件功能,一旦公司的 工作邮件超过了规则级别的分数,或者内容匹配了关键 实现可管理安全 字过滤,将会被作为垃圾邮件拦截。可以通过适当增大 部署安全产品 垃圾邮件规则级别的分数,改变关键字过滤的规测方法 了解自身安全状况 来防止正常的工作邮件被当做垃圾邮件。 最有效的方法是将公司的邮箱地址加人到白名单当中。 比如公司的邮箱域名是domain.com,可以将 “*@domain.com”加人到邮件地址白名单中。
Web过滤
Q:在WEB过滤功能中的权重关键字过滤是如何过滤拦截 网页的? A:权重关键字过滤是建立在关键字过滤的基础上的,只 起到拦截网页的作用,也就是黑名单的作用。在其设置 里,每个关键字都有相对应的分数,坏的关键字(比如 色情词汇)是正分,好的关键字(比如教育词汇)是负 实现可管理安全 部署安全产品 分,分数的范围是-50 到50。用户可以设置一个拦截的 了解自身安全状况 分数阀值,一旦用户浏览的网页内容中的关键字分数总 和超过了阀值分数,这个网页就会被拦截。阀值的范围 是50-500。
13
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
14
江苏省电信有限公司
垃圾邮件
Q:安全网关在反垃圾邮件上采用哪些技术? A:智能学习技术:采用贝叶斯信息分类理论对垃圾邮件 以及非垃圾邮件分类打分; 关键字、词组过滤技术 ; RBL黑名单提供者服务器 ; 实现可管理安全 部署安全产品 SMTP邮件接收规则、反向DNS查询功能、自动获取白名 了解自身安全状况 单功能。 针对垃圾邮件制造者不断变化的技术,不断更新的垃圾 邮件特征库
用户至上 用心服务 Customer First Service Foremost
16
江苏省电信有限公司
垃圾邮件
Q:安全网关的垃圾邮件中设置了关键字过滤,为什么含 有该关键字的邮件不被当作垃圾邮件? A:出现此现象可能有以下几个原因: 用户是从内往外发含有关键字的邮件。安全网关对于从 内往外发的邮件不做垃圾邮件检测; 实现可管理安全 部署安全产品 外部的发送含有关键字邮件的帐户已被自动获取为白名 了解自身安全状况 单,应此不会被判为垃圾邮件。
用户至上 用心服务
Customer First Service Foremost
11
江苏省电信有限公司
病毒过滤
Q:通过HTTP、FTP下载的文件中包含病毒时,安全网关 会怎么处理? A:这个问题和下载的文件的大小有关。当下载的文件大 小在300k以内时,能够100%的拦截病毒;如果下载的 文件超过300K,由于安全网关采用的是边检测边发送数 实现可管理安全 据的方式,已经将前期下载的数据包,经检测后发送到 部署安全产品 相关的地址上,如果这时发现在下载的文件后半部有病 了解自身安全状况 毒,安全网关会将病毒内容截取下来,下载下来的文件 比原始的文件要小,并且该文件不可用,用文本编辑打 开会发现有发现病毒的提示。
2
江苏省电信有限公司
系统网络配置
Q:安全网关支持哪些网络接入模式?
A:安全网关支持两种网络接入模式:一种是网桥模式, 一种是网关模式。网关模式下有ADSL拨号、静态路由、 DHCP client端三种外网接入类型。
部署安全产品 实现可管理安全
Q: 网桥模式下安全网关应该部署在网络中的什么位置? 了解自身安全状况 A:如果安全网关采用网桥模式,通常情况下应该部署在 企业接入设备(防火墙或者路由器)的后面。安全网关 的两个网口(内网口和外网口)连接的是同一网段的两 个部分,用户只需给安全网关配置一个本网段的IP地址, 不需要改变网络拓扑以及其它配置,透明接入网络。
用户至上 用心服务
Customer First Service Foremost
18
江苏省电信有限公司
目 录
一、系统网络配置 二、病毒过滤 三、垃圾邮件 四、web过滤
五、机密信息
六、防火墙 七、安全管理中心
用户至上 用心服务
Customer First Service Foremost
19
江苏省电信有限公司
用户至上 用心服务 Customer First Service Foremost
3
江苏省电信有限公司
系统网络配置
Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在 企业网络出口处,做为宽带网络接入设备,保护整个内 部网络。 Q: 无法通过浏览器登录安全网关的管理页面? 了解自身安全状况 A:出现这种情况有以下几个原因:
7
江苏省电信有限公司
系统网络配置
Q:当安全网关部署在三层交换机前面时,为什么有些 VLAN网段不能正常访问internet? A:由于安全网关是基于透明的应用层代理,需要为数据 包指回路由,不论是在网关模式还是网桥模式下,都需 要为三层交换机下的每个子网设置指回路由,在系统配 置>路由设置,添加路由。 实现可管理安全 部署安全产品 网桥方式: 网卡:br0 ,类型:网络,主机,缺省,目 了解自身安全状况 的:IP地址,掩码,网关:三层交换机的地址。 路由模式: 网卡: eth0,类型:网络,主机,缺省, 目的:IP地址,掩码,网关:三层交换机的地址。
用户至上 用心服务
Customer First Service Foremost
20
江苏省电信有限公司
Web过滤
Q:安全网关提供了哪些功能实现WEB内容过滤? A:安全网关采用网址过滤与网页内容过滤相结合的办法, 进行多重过滤。 内容过滤方法又分成单个关键字过滤,权重关键字过滤, PICS分级标准过滤以及文件及应用过滤等多种方法共同 实现可管理安全 使用,能够更全面的过滤掉不健康的 WEB内容。
用户至上 用心服务
Customer First Service Foremost
10
江苏省电信有限公司
病毒过滤
Q:安全网关支持哪些协议的病毒扫描? A:安全网关能够对最常用的五种Internet协议(HTTP, POP3,SMTP,IMAP、FTP)以及Netbios(网络基本输入 /输出系统)进行病毒扫描。 SMTP:发送邮件的协议,默认扫描端口 25 实现可管理安全 部署安全产品 IMAP:接收邮件的协议,默认扫描端口 143 了解自身安全状况 POP3:接收邮件的协议,默认扫描端口110 FTP:传送文件的协议,默认扫描端口21 HTTP:WEB访问使用协议,默认扫描端口80